AML Risk Assessment
Risikovurdering — Hvitvasking og terrorfinansiering
Dokument: Virksomhetsinnrettet risikovurdering, jf. hvitvaskingsloven §6
Virksomhet: ALAI Holding AS, org.nr 932 516 136
Produkt: Drop — betalingsformidling og pengeoverføringer
Versjon: 1.0
Dato: 2026-02-12
Utarbeidet av: Compliance
Godkjent av: Styre
Neste revisjon: 2027-02-12
1. Innledning
Denne risikovurderingen er utarbeidet i henhold til hvitvaskingsloven §6, som pålegger rapporteringspliktige å identifisere og vurdere risikoen for at virksomheten kan bli brukt til hvitvasking eller terrorfinansiering. Vurderingen danner grunnlaget for Selskapets risikobaserte tilnærming til kundetiltak og transaksjonsovervåking.
1.2 Metode
Risikovurderingen er basert på:
- Nasjonal risikovurdering (NRA) utgitt av Justis- og beredskapsdepartementet
- Finanstilsynets veiledning til hvitvaskingsregelverket
- FATFs risikovurderingsmetodikk
- EUs overnasjonale risikovurdering (SNRA)
- Egne erfaringer og bransjeanalyse
1.3 Risikomatrise — vurderingsmetodikk
Sannsynlighet:
| Nivå |
Beskrivelse |
| 1 — Lav |
Lite sannsynlig at risikoen materialiserer seg |
| 2 — Middels |
Kan forekomme i enkelte tilfeller |
| 3 — Høy |
Sannsynlig at risikoen materialiserer seg jevnlig |
| 4 — Svært høy |
Nærmest sikkert / har allerede forekommet |
Konsekvens:
| Nivå |
Beskrivelse |
| 1 — Lav |
Begrenset økonomisk tap, ingen regulatorisk konsekvens |
| 2 — Middels |
Moderat tap, mulig tilsynsreaksjon |
| 3 — Høy |
Vesentlig tap, tilsynssanksjon, omdømmeskade |
| 4 — Svært høy |
Konsesjonsinndragelse, straffeansvar |
Iboende risiko = Sannsynlighet x Konsekvens (uten tiltak)
Restrisiko = Risiko etter implementerte tiltak
2. Virksomhetsbeskrivelse
2.1 Om Selskapet
ALAI Holding AS utvikler og drifter betalingsapplikasjonen Drop, som tilbyr:
- Pengeoverføringer (remittance): Grensekryssende overføringer fra Norge til 30+ land
- QR-betalinger: Betalinger i butikk via QR-kode, tilgjengelig for alle merchanter
2.2 Forretningsmodell
- Pass-through-modell: Drop holder aldri kundemidler. Transaksjoner initieres via PSD2-grensesnitt (PISP/AISP) mot kundens egen norske bankkonto.
- Målgruppe: Alle innbyggere i Norge og Skandinavia som er 18+ med norsk BankID
- Autentisering: Norsk BankID (høyt sikkerhetsnivå)
2.3 Produkter og tjenester
| Tjeneste |
Beskrivelse |
Volum (forventet år 1) |
| Remittance |
Overføring fra norsk bank til mottaker i utlandet |
~36 000 transaksjoner |
| QR-betaling |
Betaling i butikk via QR-kode |
~120 000 transaksjoner |
| Merchant onboarding |
Registrering av butikker for QR-mottak |
~200 merchanter |
3. Kundebasert risiko
3.1 Kundeprofil
Drops kundebase består av alle innbyggere i Norge som ønsker å sende penger til utlandet eller betale i butikk. Kundene identifiseres og verifiseres gjennom norsk BankID.
3.2 Kunderisikofaktorer
| Risikofaktor |
Iboende risiko |
Mitigerende tiltak |
Restrisiko |
| Stråmenn (muldyr) — kunder som utfører transaksjoner på vegne av andre |
3 x 3 = 9 (Høy) |
BankID-verifisering, transaksjonsovervåking, adferdsmønster-analyse |
2 x 3 = 6 (Middels) |
| Kunder med høyt transaksjonsvolum — volumet overstiger oppgitt formål |
2 x 3 = 6 (Middels) |
Automatisk flagging ved avvik fra profil, EDD ved >200% |
1 x 3 = 3 (Lav) |
| PEP-kunder — politisk eksponerte personer |
1 x 4 = 4 (Middels) |
Automatisk PEP-screening ved onboarding og løpende, EDD |
1 x 3 = 3 (Lav) |
| Kunder som sender til mange ulike mottakere — indikasjon på pengeformidling |
2 x 3 = 6 (Middels) |
Maks antall mottakere per periode, manuell review |
1 x 3 = 3 (Lav) |
| Kunder som sender til høyrisikoland — korridorbasert risiko |
3 x 3 = 9 (Høy) |
EDD for høyrisikokorridorer, lavere terskler, dokumentasjon av formål |
2 x 2 = 4 (Middels) |
| Nye kunder med umiddelbart høyt volum — avvikende fra normalt mønster |
2 x 3 = 6 (Middels) |
Gradvis volumøkning, automatisk flagging, EDD |
1 x 3 = 3 (Lav) |
3.3 Merchant-risikofaktorer
| Risikofaktor |
Iboende risiko |
Mitigerende tiltak |
Restrisiko |
| Kontantintensive virksomheter — restauranter, kiosker, frisører |
3 x 3 = 9 (Høy) |
Verifisering av org.nr mot Brønnøysundregistrene, transaksjonsovervåking, EDD |
2 x 2 = 4 (Middels) |
| Nyetablerte foretak — kort driftshistorikk |
2 x 2 = 4 (Middels) |
Utvidet KYC ved registrering, hyppigere oppfølging |
1 x 2 = 2 (Lav) |
| Uvanlig transaksjonsmønster — refusjoner, splitting |
2 x 3 = 6 (Middels) |
Automatisk overvåking av refusjonsandel og transaksjonsmønster |
1 x 3 = 3 (Lav) |
4. Geografisk risiko
4.1 Metodikk
Geografisk risiko vurderes basert på:
- FATFs vurderinger (gråliste/svarteliste)
- EUs liste over høyrisikoland (delegert forordning)
- Transparency Internationals Corruption Perceptions Index (CPI)
- Nasjonal risikovurdering (NRA)
- Basel AML Index
4.2 Korridorklassifisering
| Korridor |
Land |
FATF-status |
CPI (2024) |
EU høyrisiko |
Risikonivå |
Tiltak |
| NOK → EUR |
EU/EØS |
Compliant |
Varierer, generelt høy |
Nei |
Lav |
Standard CDD |
| NOK → PLN |
Polen |
Compliant |
54 |
Nei |
Lav |
Standard CDD |
| NOK → GBP |
Storbritannia |
Compliant |
71 |
Nei |
Lav |
Standard CDD |
| NOK → RSD |
Serbia |
Under evaluering (MONEYVAL) |
36 |
Nei |
Middels |
Standard CDD + formålsdokumentasjon |
| NOK → BAM |
Bosnia-Hercegovina |
Under evaluering (MONEYVAL) |
35 |
Nei |
Middels |
Standard CDD + formålsdokumentasjon |
| NOK → TRY |
Tyrkia |
Under evaluering (FATF) |
34 |
Nei (per 2025) |
Middels |
Standard CDD + formålsdokumentasjon |
| NOK → PKR |
Pakistan |
Gråliste-historikk |
24 |
Varierer |
Høy |
EDD obligatorisk |
| NOK → sanksjonerte land |
Iran, Nord-Korea, etc. |
Svarteliste |
N/A |
Ja |
Sperret |
Blokkert i systemet |
4.3 Geografisk risikovurdering — oppsummering
| Risikonivå |
Andel av forventet volum |
Tiltak |
| Lav |
~30% |
Standard CDD, standard overvåking |
| Middels |
~50% |
CDD + ekstra formålskontroll, lavere terskler |
| Høy |
~15% |
EDD, dokumentasjon av midlers opprinnelse, manuell review |
| Sperret |
0% |
Korridoren er blokkert |
5. Produkt- og tjenestebasert risiko
5.1 Remittance (grensekryssende overføringer)
| Risikofaktor |
Iboende risiko |
Mitigerende tiltak |
Restrisiko |
| Grensekryssende karakter — midler forlater norsk jurisdiksjon |
3 x 3 = 9 (Høy) |
Korridorbasert risikotilnærming, BaaS-partner med egne kontroller |
2 x 2 = 4 (Middels) |
| Hastighet — rask gjennomføring vanskeliggjør intervensjon |
2 x 3 = 6 (Middels) |
Pre-transaksjon sankssjonsscreening, automatisk hold ved flagging |
1 x 3 = 3 (Lav) |
| Tredjeparts mottaker — mottaker er ofte annen person |
2 x 2 = 4 (Middels) |
Registrering av mottaker, begrensning av antall unike mottakere |
1 x 2 = 2 (Lav) |
| Smurfing/splitting — flere små transaksjoner for å unngå terskler |
3 x 3 = 9 (Høy) |
Kumulativ overvåking (daglig, ukentlig, månedlig), mønstergjenkjenning |
2 x 2 = 4 (Middels) |
5.2 QR-betalinger (innenlandske)
| Risikofaktor |
Iboende risiko |
Mitigerende tiltak |
Restrisiko |
| Lavere iboende risiko — innenlandsk, begge parter identifisert |
1 x 2 = 2 (Lav) |
Standard CDD, transaksjonsovervåking |
1 x 1 = 1 (Lav) |
| Fiktive transaksjoner — oppkonstruerte transaksjoner mellom nærstående |
2 x 2 = 4 (Middels) |
Overvåking av transaksjonsmønster, kontroll av merchant-legitimitet |
1 x 2 = 2 (Lav) |
| Refusjonssvindel — systematisk misbruk av refusjoner |
1 x 2 = 2 (Lav) |
Automatisk overvåking av refusjonsandel per merchant |
1 x 1 = 1 (Lav) |
5.3 Samlet produktrisiko
| Produkt |
Iboende risikonivå |
Etter tiltak |
| Remittance |
Høy |
Middels |
| QR-betaling |
Lav |
Lav |
6. Kanal- og leveringsrisiko
6.1 Digital onboarding
| Risikofaktor |
Iboende risiko |
Mitigerende tiltak |
Restrisiko |
| Ikke-fysisk kontakt — kunden er aldri fysisk til stede |
2 x 2 = 4 (Middels) |
BankID gir høyt identitetssikkerhetsnivå (eIDAS «høyt»), kompenserer for manglende fysisk oppmøte |
1 x 2 = 2 (Lav) |
| Identitetstyveri — noen bruker andres BankID |
1 x 4 = 4 (Middels) |
BankID krever personlig kodebrikke/mobil, svært vanskelig å misbruke |
1 x 3 = 3 (Lav) |
| Mobilapp — enhet kan kompromitteres |
1 x 2 = 2 (Lav) |
Enhetsautentisering, sesjonstokens, anomalideteksjon |
1 x 1 = 1 (Lav) |
6.2 Samlet kanalrisiko
Digital kanal med BankID vurderes som lav restrisiko grunnet høyt identitetssikkerhetsnivå.
7. Terrorfinansieringsrisiko
7.1 Vurdering
Nasjonal risikovurdering (NRA) identifiserer grensekryssende overføringer som en potensiell kanal for terrorfinansiering, særlig:
- Små beløp til høyrisikoområder (under rapporteringsterskler)
- Bruk av stråmenn/muldyr
7.2 Spesifikke risikofaktorer
| Risikofaktor |
Iboende risiko |
Mitigerende tiltak |
Restrisiko |
| Overføringer til konfliktområder |
3 x 4 = 12 (Svært høy) |
Blokkering av sanksjonerte land, EDD for naboland til konfliktområder, lavere overvåkingsterskler |
2 x 3 = 6 (Middels) |
| Mange små overføringer til samme region |
2 x 3 = 6 (Middels) |
Kumulativ overvåking, mønstergjenkjenning |
1 x 3 = 3 (Lav) |
| Innsamlingsaksjoner via plattformen |
1 x 4 = 4 (Middels) |
Drop tillater kun P2P-overføringer, ingen innsamlingsfunksjon |
1 x 3 = 3 (Lav) |
8. Samlet risikovurdering — risikomatrise
8.1 Overordnet risikobilde
| Risikokategori |
Iboende risiko |
Restrisiko (etter tiltak) |
| Kundebasert risiko |
Middels-Høy |
Lav-Middels |
| Geografisk risiko |
Høy |
Middels |
| Produktrisiko (remittance) |
Høy |
Middels |
| Produktrisiko (QR) |
Lav |
Lav |
| Kanalrisiko |
Middels |
Lav |
| Terrorfinansieringsrisiko |
Høy |
Middels |
| Samlet virksomhetsrisiko |
Høy |
Middels |
8.2 Visualisering
RISIKOMATRISE (Restrisiko etter tiltak)
Konsekvens → Lav(1) Middels(2) Høy(3) Svært høy(4)
────── ────────── ────── ────────────
Svært høy(4) │ │ │ │
Høy(3) │ │ GEOGRAFI │ │
│ │ TERROR │ │
Middels(2) │ KANAL │ KUNDE │ │
│ QR-prod │ REMITTANCE │ │
Lav(1) │ │ │ │
8.3 Konklusjon
Virksomhetens samlede restrisiko vurderes som middels etter implementering av tiltak beskrevet i dette dokumentet og i hvitvaskingsrutinene. De viktigste risikoreduserende faktorene er:
- BankID-verifisering — sikrer høyt identitetsnivå for alle kunder
- Pass-through-modell — Drop holder aldri kundemidler, noe som begrenser misbruksmuligheter
- Korridorbasert risikovurdering — differensierte tiltak etter mottakerland
- Automatisert transaksjonsovervåking — regelbasert overvåking med konfigurbare terskler
9. Handlingsplan
9.1 Tiltak som skal implementeres før lansering
| Nr |
Tiltak |
Ansvarlig |
Frist |
Status |
| 1 |
Implementere PEP- og sanksjonsscreening (API-integrasjon) |
Tech Lead |
Før lansering |
Planlagt |
| 2 |
Implementere automatisert transaksjonsovervåking |
Tech Lead |
Før lansering |
Planlagt |
| 3 |
Etablere compliance-dashboard |
Tech Lead |
Før lansering |
Planlagt |
| 4 |
Inngå avtale med PEP/sanksjons-dataleverandør |
Daglig leder |
Før lansering |
Planlagt |
| 5 |
Gjennomføre opplæring av alle ansatte |
Hvitvaskingsansvarlig |
Før lansering |
Planlagt |
| 6 |
Registrere rapporteringskanal hos Altinn/EFE |
Hvitvaskingsansvarlig |
Før lansering |
Planlagt |
| 7 |
Etablere rutine for korridorblokkering |
Tech Lead |
Før lansering |
Planlagt |
9.2 Løpende tiltak
| Tiltak |
Frekvens |
Ansvarlig |
| Oppdatering av risikovurdering |
Årlig + ved vesentlige endringer |
Hvitvaskingsansvarlig |
| Oppdatering av korridorklassifisering |
Kvartalsvis |
Hvitvaskingsansvarlig |
| Re-screening mot PEP/sanksjonslister |
Løpende (automatisk) |
System |
| Gjennomgang av transaksjonsovervåkingsregler |
Halvårlig |
Hvitvaskingsansvarlig |
| Rapport til styret |
Kvartalsvis |
Hvitvaskingsansvarlig |
| Ekstern revisjon av AML-program |
Årlig |
Ekstern revisor |
10. Endringslogg
| Versjon |
Dato |
Endring |
Godkjent av |
| 1.0 |
2026-02-12 |
Førstegangs utarbeidelse |
Styre |
Dokumentet er utarbeidet i henhold til hvitvaskingsloven §6 og Finanstilsynets veiledning om virksomhetsinnrettet risikovurdering. Risikovurderingen skal gjennomgås og oppdateres minst årlig.
